SKYTALE IT-Security Training Week 2021 – Tag 1: Analyse & Datenhygiene
Im Rahmen unserer IT-Security Training Week beschรคftigen wir uns am ersten Tag mit der Analyse Ihrer aktuellen Situation rund um die IT-Sicherheit sowie der sogenannten Datenhygiene. Verschaffen wir uns also zunรคchst einen รberblick.
Aufgabe 1 - Bestandsaufnahme
Versuchen Sie einmal, spontan folgende Fragen zu beantworten:
- Wie viele Passwรถrter nutzen Sie รผberhaupt?
- Wo haben Sie รผberall Benutzerkonten?
- Welche dieser Benutzerkonten haben Sie aktuell noch im Einsatz, welche haben schon seit mindestens einem Jahr nicht mehr genutzt?
Wenn Sie sich 5 Minuten Zeit nehmen, um diese Fragen ernsthaft zu beantworten und die Antworten zu Papier zu bringen, werden Sie sehen, dass das mitunter gar nicht so einfach ist. Wahrscheinlich reichen am Ende die 5 Minuten noch nicht einmal, um die Fragen abschlieรend zu beantworten.
Datenlecks
Sicher haben Sie schon hรคufiger von Datenlecks, Breaches, Leaks usw. gehรถrt. Unter dem Strich bedeuten diese, dass bei einem Unternehmen, Online-Shop oder sonstigem Portal eingebrochen wurde und die Daten "abhanden gekommen" sind.
Ein Dritter hat dann eine unter Umstรคnden vollstรคndige Kopie Ihrer Daten -ย zumindest wenn Sie bei dem Opfer ein Benutzerkonto hatten. Jetzt kann man auf zwei Arten damit umgehen:
- nachsehen, ob Sie schon betroffen sind
- prรคventiv handeln und nur noch die benรถtigten Benutzerkonten behalten. Man spricht hier auch von "die Angriffsflรคche reduzieren"
Aufgabe 2 - Schaden ermitteln
Also - frisch ans Werk und nachgesehen, ob Sie schon einem Datendiebstahl zum Opfer gefallen sind.
Es gibt dafรผr spezialisierte Seiten wie https://haveibeenpwned.com/ . Der Begriff "pwned" stammt aus dem Bereich der Online-Games und bedeutet so viel wie "dominiert" oder einfach "platt gemacht". Entstanden ist dieses Wort sehr wahrscheinlich aus einem Tippfehler des Wortes "owned".
Finden Sie heraus, ob Sie schon "pwned" sind. Auf der Seite https://haveibeenpwned.com/ geben Sie Ihre Email-Adresse(n) ein und lesen unter "Breaches you were pwned in", ob diese EMail-Adresse schon in einem Datenleck aufgetaucht ist.
Und nun? Falls ja, รคndern Sie sofort das Passwort, das Sie fรผr diesen Account verwendet haben (falls nicht schon geschehen).
Aufgabe 3 - aufrรคumen
Das ist schneller gesagt als getan: gehen Sie los und lรถschen alle Benutzerkonten bei Online-Shops, Portalen usw., die Sie nicht mehr brauchen. Alles, was nicht mehr gespeichert ist, kann auch (hรถchstwahrscheinlich) keinem Datendiebstahl mehr zum Opfer fallen.
Wenn Sie Konten haben, die Sie zwar hin und wieder brauchen, aber nicht zwingend Ihre echte Email-Adresse nutzen wollen, stellen Sie das Benutzerkonto auf eine Wegwerf-Adresse ("disposable email address" = DEA) um. Gehen Sie zu einem Anbieter wie https://temp-mail.org/ und erzeugen Sie eine Adresse, die nur wenige Minuten gรผltig ist - das reicht gerade fรผr eine Registrierung (aber beachten Sie bitte, dass dies nicht bei allen Portalen und Shops erlaubt ist, das finden Sie evtl. in den AGBs).
Aufgabe 4 - priorisieren
Welche Ihrer Passwรถrter sind kritisch?
Einige Passwรถrter sind wichtiger als andere. Klar, dazu fรคllt Ihnen sicher sofort etwas wie Online-Banking, (Krypto-)Bรถrsen und alles, was mit Geld zu tun hat, ein.
Aber haben Sie einmal an Ihr Email-Konto gedacht? In den meisten Fรคllen kรถnnen Sie sich, wenn Sie irgendwo ein Passwort vergessen haben, รผber einen Mechanismus ein neues Passwort oder einen Link zum zurรผcksetzen an Ihre Email-Adresse senden lassen. Sprich: wer Zugriff auf Ihr Email-Konto hat, hat auch sehr schnell Zugriff auf Ihre รผbrigen Online-Konten.
รberlegen Sie also, welche Ihrer Passwรถrter aus welchen Grรผnden kritisch und damit besonder schรผtzenswert sind. An Tag 3 der IT-Security Woche gehen wir hier noch einmal tiefer darauf ein.
Lesen Sie dazu auch den Artikel "Meine Identitรคt gehรถrt mir - oder nicht?"ย unter https://www.it-daily.net/it-sicherheit/cloud-security/13968-meine-identitaet-gehoert-mir-oder-nicht
Fazit
Das soll es fรผr heute einmal gewesen sein. Wenn Sie die einzelnen Punkte teilweise oder auch ganz durchgearbeitet haben, haben Sie schon viel erreicht und Ihre Welt ein Stรผck weit sicherer gemacht.
Morgen geht es weiter - also bis morgen! ๐
Aktuelle Beitrรคge
Und schlieรlich wartet auch noch ein spezielles Angebot
Interessenten und -Kunden, die zwischen dem 26. April und dem 14. Mai ein vollstรคndiges Security Awareness Training fรผr ihre Mitarbeiter buchen, erhalten die Passwort-Lerneinheit kostenlos.
Machen Sie sich und Ihre Mitarbeiter #itsecurityfit !
#skytaleacademy
#itsicherheit
#bleibensiesicher
#itsecurityweek
#itsecurityfit